Ha azt hinnénk, az SMS-ben kapott egyszeri kódokkal megvédték a számlánkat, nagyot tévedünk: egyre több olyan esetre derül fény, amikor informatikai rendszerek vagy emberek meghackelésével mégis illetéktelen kezekbe kerülnek a biztonsági kódok. Mindezért a felelősek pedig nem a számlavezetők, hanem a távközlési vállalatok lehetnek. A napokban dőlt el, hogy megkezdődhet az AT&T telekomszolgáltatóval szemben indított 224 millió dolláros per, amely szintén egy ilyen esetről szól.

Egy amerikai szövetségi bíróság a napokban hozta meg döntését: nem meszelik el annak a pernek a lefolytatását, amelyben egy kriptopénzes befektető követel 224 millió dollárt az AT&T telekomszolgáltatótól. Michael Terpin kriptopénzes befektetőtől még 2017-ben loptak el 24 millió dollárt egy úgynevezett SIM-swapping módszerrel, amelynek lényege, hogy a hacker egy általa birtokolt SIM-kártyára tereli át a mobil forgalmát, ezzel megszerezve a kontrollt az áldozat számlái felett.

Ugyanis ha a hackernél lévő telefonra érkezik a kétfaktoros azonosításban használt egyszeri kód, akkor ezt a biztonsági réteget egy pillanat alatt feltörték a módszerrel, vagy ha a telefonra kérhető egy kriptopénzes számla új jelszava, akkor máris hozzáférnek ehhez. Előbbinél persze például a netbanki jelszó is szükséges egy bankszámla feltöréséhez, utóbbinál viszont elég, ha csak a SIM-cserét végrehajtják, máris el lehet emelni a kriptopénzt.

Terpin az AT&T-t több jogszabálysértéssel is vádolja, az ellopott 24 millió dollár megtérítése mellett 200 millió dollárnyi kártérítést követel. Az ügyet először tavaly augusztusban nyitották meg, melyben Terpin az AT&T ügyfélszolgálati munkatársának felelősségét firtatja. A pénzét ellopó hacker megtévesztette az AT&T munkatársát, Terpinnek adta ki magát, így vette át az uralmat a telefonja forgalma felett. Terpinnél ez már a második eset volt, hogy így kopasztották meg, ezért kifejezett kérése volt a telekomszolgáltató felé, hogy esetében a SIM-swap eshetőségére különösen figyeljenek, mégis megtörtént a baj.

Az egyik SIM-es hacker kétszer is lebukott

Tavaly novemberben írtunk arról, a 21 éves Nicholas Trugila a 26 éves Robert Ross Coinbasenél és Gemininél vezetett kriptotárcájához fért hozzá úgy, hogy megszerezte az illető SIM-adatait. A csaló kifigyelte, melyik szolgáltatónál vezeti előfizetését a cégvezér, majd felhívta a telefontársaságot és magát Robert Rossnak kiadva arra kérte a szolgáltatót, hogy számát vezesse át egy másik SIM-kártyára. A telefonszámmal a birtokában Trugila hozzáférést nyert Ross appjaihoz és kriptotárcáihoz is, utóbbiból 1 millió dollárnyi összeget emelt el.

A bűnözőt elkapták a hatóságok és 21 vádpontot emeltek ellene, többek közt csalással és személyazonosság-lopással vádolják. Az elemelt egymillió dolláros összegből viszont csak 300 ezer dollárnyit tudtak visszaszerezni a hatóságok. Michael Terpin mindezek után szintén perbe fogta az egyszer már elítélt Trugliát, és meg is nyerte azt: a 21 éves elkövetőnek 75 millió dollárt kellene kifizetnie Terpinnek. A SIM-swapping egyre népszerűbb csalás az Egyesült Államokban: tavaly például Yiliang „Doublelift” Peng, egy profi League of Legends játékos vált a trükk áldozatává, akitől 200 ezer dollárnyi kriptopénzt emeltek el.

Amikor az informatikai rendszert hackelik meg

2017 májusában egy másik módszerrel, de szintén az SMS-ben kapott kód kijátszására derült fény egy Németországban kirobbant ügyben: az egyik legnagyobb európai telekomszolgáltató meghackelésével bankszámlákat tudtak megcsapolni ismeretlen csalók Németországban. Az ügyben a legijesztőbb az, hogy mindezt egy legalább 3 éve ismert sérülékenységet kihasználva tették, ráadásul nem csak a most érintett O2 telekomcégnél jelenthet ez problémát.

Létezik egy kommunikációs protokoll, amelyet a telekommunikációs szolgáltatók még az 1980-as években fejlesztettek ki, és a mai napig használnak, ezt hívják Signaling System 7-nek (SS7). Ez a protokoll teszi lehetővé, hogy a távközlési szolgáltatók egymás között jelet, üzeneteket tudjanak továbbítani, vagyis pl. egy telekomos ügyfél fel tudjon hívni egy telenorost, ezáltal a rendszerek átjárhatóak legyenek.

2014-ben IT-biztonsági kutatók bemutatták, hogy ezt a protokollt könnyen fel lehet törni, és aki egyszer bejut a rendszerbe, az gyakorlatilag bármelyik távközlési cégnél a világon hívásokat és SMS-eket tud eltéríteni vagy lehallgatni, és például azt is meg tudja nézni, egy adott ügyfél éppen hol tartózkodik.

Az egyik legnagyobb németországi telekomszolgáltatónál, az O2-nél elismerték, hogy több ügyfelüktől a banki tranzakciókat megerősítő SMS-eket szerezték meg ennek a rendszernek a feltörésével az elmúlt hónapokban.

A hackerek első körben adathalász módszerrel megszerezték a célpontok banki azonosítóit, egyenlegét és mobilszámát, majd a magukhoz átirányított SMS-ekkel rendszerint az éjjel közepén már könnyen elutalták a pénzt a bankszámláról.

A távközlési cégek már dolgoznak egy új üzenetküldő protokollon (ennek neve Diameter), amely felválthatja az említett SS7-et, azonban amerikai állami kiberbiztonsági szakértők szerint ennek is vannak sérülékenységei.

(Coindesk)